Le protocole RDP est un protocole qui permet aux utilisateurs d'accéder à des ordinateurs à distance et de les contrôler. Bien qu'il offre une flexibilité conviviale, il génère également des risques de sécurité importants pour ce qui est de la surface d'attaque de votre organisation. De nombreux assaillants utilisent le RDP pour accéder à un réseau et exfiltrer des données volées.

Afin d’améliorer votre protection, le Centre pour la cybersécurité Belgique (CCB) a compilé une liste de recommandations et de tutoriels étape par étape.

Envie d’en savoir plus sur le RDP ? 

Inscrivez-vous à notre webinaire du 20 novembre 10h-10h30 CEST

Register here

Risques

Le protocole RDP est l'un des protocoles les plus connus, car il est présent par défaut sur les machines Windows et se retrouve également sur les appareils Apple. Le RDP n'est pas sécurisé de par sa conception, c'est pourquoi il peut engendrer des menaces de sécurité, à moins que votre organisation ne renforce sa configuration pour une utilisation plus sûre.

L'approche de la défense par couches

Il est recommandé d'appliquer différentes mesures pour atténuer les risques. 

Une bonne pratique consiste à combiner plusieurs mesures techniques avec la sensibilisation des utilisateurs et la surveillance proactive des activités suspectes.

•    Attaque par ransomware :
Le RDP est souvent la cible des opérateurs de ransomwares. Ils l'utilisent comme point d'entrée pour déployer des ransomwares sur les systèmes ciblés et crypter des données précieuses.

•    Exposition des ports et visibilité du réseau
Le RDP utilise généralement le port 3389 et, si la connexion se produit sur l’Internet ouvert, il expose votre réseau à des attaques potentielles.

•    Vulnérabilités et exploitations :
Le logiciel RDP et le système d'exploitation sous-jacent peuvent présenter des vulnérabilités susceptibles d'être exploitées par des hackers pour obtenir un accès non-autorisé ou exécuter du code malveillant.

•    Attaques Man-in-the-Middle (MitM) :
Les sessions RDP non sécurisées sont susceptibles d'être interceptées, ce qui permet aux hackers d'espionner les communications entre le client et le serveur.

•    Attaques par force brute :
Les hackers peuvent tenter d'obtenir un accès non autorisé en essayant systématiquement différentes combinaisons de noms d'utilisateur et de mots de passe.

•    Vol de données d'identification :
Les hackers peuvent utiliser le phishing ou d'autres tactiques pour voler les informations d'identification RDP, ce qui permet un accès non autorisé.

•    Mouvements latéraux et exploitation des réseaux :
Une fois à l'intérieur d'un réseau, les acteurs malveillants peuvent utiliser des sessions RDP compromises pour se déplacer latéralement, élever leurs privilèges et cibler des systèmes critiques.

Image
server.jpg

Atténuations recommandées

Si vous décidez de continuer à utiliser le RDP, le Centre pour la cybersécurité Belgique vous recommande de mettre en œuvre les mesures d'atténuation suivantes :

  • Activation de l'authentification au niveau du réseau (NLA) :

Assurez-vous que l'authentification au niveau du réseau est activée sur votre serveur RDP. L'authentification de niveau réseau exige une authentification avant l'établissement d'une session à distance, ce qui ajoute une couche de sécurité en validant les informations d'identification de l'utilisateur avant d'autoriser l'accès. Pour plus d'informations sur les NLA et la configuration du bureau à distance, cliquez ici. 

  • Restriction de l'accès RDP :

Limitez l'accès RDP à des adresses IP spécifiques ou des utilisateurs spécifiques. Vous pouvez aussi opter pour un réseau privé virtuel (VPN) ou une solution d’accès au réseau de confiance zéro pour créer un tunnel sécurisé pour le trafic RDP. Cela permet de réduire l'exposition via Internet et de s'assurer que seuls les utilisateurs autorisés peuvent se connecter à distance. Cette vidéo illustre comment restreindre votre RDP à des adresses IP spécifiques. Découvrez ici comment restreindre votre RDP à certains utilisateurs.

  • Recours à des méthodes d'authentification fortes :

Mettez en œuvre des méthodes d'authentification fortes, telles que l'authentification multifactorielle (MFA, parfois désignée par 2FA), pour renforcer la vérification des utilisateurs. Le MFA ajoute une couche de sécurité en demandant aux utilisateurs de fournir plusieurs formes d'identification, ce qui réduit le risque d'accès non autorisé. Veillez à mettre en œuvre le MFA sur les comptes privilégiés tels que les comptes d'administrateur ! Les comptes à privilèges sont très recherchés par les acteurs de la menace.

  • Mise en œuvre de politiques de verrouillage des comptes :

Configurez des politiques de verrouillage des comptes pour empêcher les attaques par force brute. Cela limite le nombre de tentatives de connexion infructueuses, réduisant ainsi le risque d'accès non autorisé par des tentatives de connexion répétées. Vous pouvez trouver des tutoriels étape par étape sur Youtube pour les postes de travail individuels et les politiques de groupe.

  • Recours au chiffrement :

Veillez à ce que les sessions RDP soient cryptées pour protéger les données pendant leur transit. Utilisez des protocoles tels que Transport Layer Security (TLS) ou mettez en place un VPN pour créer un canal de communication sécurisé entre le client et le serveur, empêchant ainsi toute interception et espionnage.

  • Modification des ports par défaut :

Envisagez de remplacer le port RDP par défaut (TCP 3389) par un port non standard. Bien que cette mesure n'offre pas une sécurité à toute épreuve, elle peut contribuer à décourager les attaques automatisées qui ciblent les ports par défaut. Visionnez cette vidéo pour découvrir comment remplacer un port par défaut et modifier les règles de pare-feu associées. Toutefois, cette mesure n'est pas suffisante et doit s'inscrire dans le cadre d'une stratégie de sécurité plus large.

  • Mises à jour et correctifs réguliers des systèmes :

Maintenez le système d'exploitation et le logiciel RDP à jour avec les derniers correctifs de sécurité. Vérifiez régulièrement l'existence de mises à jour et appliquez-les rapidement afin de corriger les vulnérabilités connues et de vous protéger contre les exploitations potentielles.

  • Audit et surveillance des sessions RDP :

Activez la journalisation des sessions RDP et examinez régulièrement les journaux pour détecter toute activité suspecte. Mettez en place des alertes en cas d'échecs multiples de tentatives de connexion ou d'autres comportements anormaux. La surveillance et l'audit sont essentiels pour détecter les incidents de sécurité potentiels et y répondre.

  • Recours à la protection des terminaux :

Installez et maintenez des solutions solides de protection des terminaux, tant du côté client que du côté serveur. Il s'agit notamment de logiciels antivirus, de pare-feu et de systèmes de détection/prévention des intrusions destinés à détecter et prévenir les activités malveillantes.

  • Formation régulière des utilisateurs à la sécurité :

Sensibilisez les utilisateurs aux bonnes pratiques en matière de sécurité RDP, notamment à l'importance d'utiliser des mots de passe forts, d'éviter les réseaux publics pour les sessions RDP et de signaler rapidement toute activité suspecte.

  • Audits de sécurité réguliers :

Effectuez régulièrement des audits de sécurité afin d'identifier et de corriger les vulnérabilités potentielles de votre infrastructure RDP. Cette approche proactive permet de s'assurer que les mesures de sécurité restent efficaces au fil du temps. Vous pouvez également vous référer à une série de vidéos explicatives et de questions d’étude préparées par Sophos : https://news.sophos.com/en-us/2024/03/20/remote-desktop-protocol-the-series/ 

Solutions alternatives

Le RDP est loin d'être le seul moyen de se connecter à distance à une machine. Il existe de nombreuses autres solutions d'accès à distance :

  • SSH (Secure Shell):
    Cas d'utilisation : accès sécurisé à la ligne de commande et aux transferts de fichiers.

Caractéristiques de sécurité : chiffrement efficace, authentification par clé publique et possibilité d'acheminer d'autres protocoles en toute sécurité.

Applications notables : OpenSSH (open source), PuTTY (Windows), WinSCP (Windows, pour les transferts de fichiers).

  • VPN (Virtual Private Network) :
    Cas d'utilisation : connecter en toute sécurité des utilisateurs distants à un réseau privé.

Caractéristiques de sécurité : tunnel crypté pour l'ensemble du trafic réseau, incluant souvent des mécanismes d'authentification et d'autorisation.

Applications notables : OpenVPN, Cisco AnyConnect, Microsoft VPN.

  • VNC (Virtual Network Computing) :
    Cas d'utilisation : accès et contrôle du bureau à distance.

Caractéristiques de sécurité : versions cryptées (telles que VNC via SSH), authentification par mot de passe et prise en charge de l'authentification multifactorielle.

Applications notables : TightVNC, RealVNC, TigerVNC.

  • TeamViewer :
    Cas d'utilisation : accès au bureau à distance avec support multiplateforme.

Caractéristiques de sécurité : chiffrement de bout en bout, authentification à deux facteurs et enregistrement des sessions.

Remarque : TeamViewer est facile à utiliser, mais il faut veiller à avoir une configuration correcte et prévoir des pratiques de sécurité pour les comptes utilisateurs.

  • AnyDesk :

Cas d'utilisation : accès léger et rapide au bureau à distance.

Caractéristiques de sécurité : chiffrement TLS, authentification à deux facteurs et enregistrement de session.

Remarque : comme pour TeamViewer, il convient d'être attentif aux configurations de sécurité.

  • Splashtop :

Cas d'utilisation : accès au bureau à distance pour les particuliers et les entreprises.

Caractéristiques de sécurité : chiffrement TLS et AES 256 bits, authentification des périphériques et authentification à deux facteurs.

Remarque : offre des solutions pour les particuliers et les entreprises.

  • Guacamole :

Cas d'utilisation : passerelle de bureau à distance basée sur Internet.

Caractéristiques de sécurité : support pour SSL/TLS, authentification multifactorielle et intégration LDAP.

Remarque : Guacamole permet un accès via un navigateur web sans nécessiter de logiciel client.

  • Radmin (Remote Administrator) :

Cas d'utilisation : contrôle et support à distance.

Caractéristiques de sécurité : chiffrement AES 256 bits, authentification Windows et filtrage des adresses IP.

Remarque : axé sur un accès à distance rapide et sécurisé.

Lors de la mise en œuvre d'une solution alternative d'accès à distance, il est essentiel de respecter les bonnes pratiques en matière de sécurité.

Le Centre pour la cybersécurité Belgique s'efforce de fournir des informations précises et utiles en utilisant au mieux les ressources publiques existantes et les ressources en ligne gratuites. Bien que nous fassions de notre mieux pour assurer l’actualisation des articles, il peut arriver que certains liens soient rompus ou que les informations ne soient plus à jour. Les articles et les vidéos choisis sont uniquement mentionnés dans le but de guider les utilisateurs. Chaque organisation doit adapter les conseils donnés à son environnement et ses besoins propres.